Introducing
Your new presentation assistant.
Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.
Trending searches
Copy of NORMAS ISO 9000 Auditoria de Sistemas
ISO
ISO 9002
la norma ISO 9002 es un Modelo para el Aseguramiento de la Calidad en Producción e Instalación y servicio asociado.
Esta define los criterios de aseguramiento de calidad a aplicar cuando se produce o se realiza instalaciones.
Las etapas de la producción con ISO 9002 están 100% bajo control, esto quiere decir que una vez supervisadas o inspeccionadas no alterarán la calidad del producto terminado.
ISO 9003
Modelo para aseguramiento de la calidad en inspección y ensayos finales. Para utilizar cuando el proveedor asegura la conformidad con requisitos especificados, únicamente en inspección y ensayos finales.
Se enfatiza que los requisitos del sistema de calidad especificados en la NTC ISO-9001, en la NTC ISO-9002 y en la NTC ISO-9003 son complementarios(N o alternativos) de los requisitos técnicos del producto o servicio. Estas normas establecen requisitos que determinan que elementos tienen que comprender los sistemas de calidad. El diseño de estas normas permite que estas sean genéricas, independientes de cualquier industria o sector económico concreto.
Por lo tanto el diseño y la implementación de este sistema de calidad será influido por las necesidades variables de la organización de esta empresa, sus objetivos particulares, los productos y servicios suministrados, procesos, prácticas y demás elementos pertenecientes a la empresa.
ISO 9000
Certificación y Calidad de
Software
PRESENTADO POR:
- Jose Rubert Aldana
- Ivonne Tatiana Perdomo
- Laura Nataly Zea
- Jenny Marcela Gutierrez
Organización Internacional para la Normalización
Fundada en Ginebra (Suiza), en 1946, está integrada por más de cien (130) países.
MISION:
Diseñar, desarrollar, promover y mantener normas comunes a nivel mundial.
Organización internacional para la Normalización
Estándares Internacionales para la Auditoría de Sistemas
¿De donde proviene el nombre ISO?:
Muchas personas habrán advertido la falta de correspondencia entre el supuesto acrónimo en inglés de la Organización y la palabra “ISO”. Así sería, pero ISO no es el acrónimo.
En efecto, “ISO” es una palabra, que deriva del Griego “isos”, que significa “igual”, el cual es la raíz del prefijo “iso” el cual aparece en infinidad de términos.
Desde “igual” a “estándar” es fácil seguir por esta línea de pensamiento que fue lo que condujo a elegir “ISO” como nombre de la Organización
La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización.
El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
Estructura de la organización
ESTÁNDARES ESPECíFICOS
Para fines de orden se muestran los Organismos de Normalización de auditoría de sistemas de información:
ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION
A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI:
A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):
Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.
B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):
Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar.
ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información.
Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI (sistema de gestión de seguridad de la información) documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas.
La Organización ISO está compuesta por tres tipos de miembros:
- Miembros simples, uno por país, recayendo la representación en el organismo nacional más representativo.
- Miembros correspondientes, de los organismos de países en vías de desarrollo y que todavía no poseen un comité nacional de normalización. No toman parte activa en el proceso de normalización pero están puntualmente informados acerca de los trabajos que les interesen.
- Miembros suscritos, países con reducidas economías a los que se les exige el pago de tasas menores que a los correspondientes.
Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Español: AENOR
ESTÁNDARES APLICABLES A LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN
A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI:
A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):
Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.
Certificaciones y normativas de calidad en software
Si tu empresa realiza algún proceso de software entregado a terceros, por qué certificarse/evaluarse con una normativa?
Los sistemas de tecnologías de la información desempeñan un papel crítico en la práctica totalidad de las empresas. Si además nuestro negocio representa ofrecerlos a terceros, la garantía de que se está haciendo bien genera directamente negocio. El mundo del desarrollo de software como otro servicio TIC necesita una supervisión constante por parte de profesionales para mantenerlos actualizados y en condiciones de funcionamiento. La certificación en ISO15504 o CMMI proporciona a las organizaciones un planteamiento estructurado para desarrollar servicios de aplicaciones software fiables. Es un reto. Pero también es una oportunidad que tienen las empresas para generar más clientes y abrirse a nuevos mercados.
PRINCIPALES NORMAS ISO 9000
Actualmente existen en el mercado “normativo” diversas opciones de las que destacamos:
Procesos
Tiempos
Requisitos
Un proceso de certificación no es un trámite sencillo y veloz. Y puede llegar a superar los dos años. "Varía de acuerdo con el proyecto de mejoras planificado", dijo Del Sastre. Por ejemplo, alcanzar un Nivel de Madurez 2 en el Modelo CMMI del SEI tiene una duración promedio de 20 meses. En el caso de IBM Argentina, Yvorra informó que el proceso de transformación para funcionar en un nivel 5 de madurez, demandó 30 meses, partiendo de una certificación CMM3. El proceso de evaluación tuvo una duración de seis meses. "Los primeros 4 meses en llegar a la revisión previa y dos meses mas para llegar al appraisal definitivo", precisó.
en el alcance sobre el software y sobre los procesos productivos de la organización. No siempre sobre el desarrollo, puede ser en la identificación de requisitos, en el propio desarrollo y por ejemplo en la entrega y mantenimiento.
Ingeniería del software. Guía de aplicación de la ISO 9001:2000 al software (NO es CERTIFICABLE. Es una norma de buenas prácticas para definir con más detalle los conceptos de software sobre los procesos de la organización).
Costos
Del Sastre explicó que para el planeamiento y la realización de este proyecto hay que considerar los siguientes pasos:
Identificar en el mercado al que se orienta la organización cuál es el modelo de calidad de software con mayor vigencia y elegirlo.
Evaluar la situación actual de la organización y compararla con las exigencias del modelo de calidad elegido. Se denomina a esta tarea GAP Analysis.
A partir del GAP Analysis se planifica un proyecto de mejoras que busca corregir las debilidades en los procesos de la organización.
Los costos de un proyecto de certificación de calidad del software varía de acuerdo al modelo de calidad elegido, los resultados del GAP Analysis y la calidad de los recursos asignados al proyecto.
En el caso de una certificación de calidad, como las ISO 9000, "los tiempos y costos son muy similares", informó a Infobaeprofesional.com Claudio Costa, gerente de Tecnología de la Información del Instituto Argentino de Normalización y Certificación (IRAM).
Information Technology / Software Life Cycle Processes, es el estándar para los procesos de ciclo de vida del software de la organización. Es la base para ISO 15504-SPICE.
Del Sastre advirtió que el plan debe cumplir una serie de requisitos:
Un "compromiso fuerte del máximo nivel jerárquico de la organización".
Una asignación específica y firme de los recursos incluidos en el plan.
Revisiones periódicas para medir la reducción y/o eliminación de las debilidades encontradas en el GAP Analysis.
Criterios para medir cómo el proyecto de mejoras impacta en el cumplimiento de los objetivos de la organización.
La realización de una evaluación externa que permita calificar a la organización con respecto al modelo de calidad elegido.
ISO 9001
ISO/IEC 12207
ISO/IEC 9003
ISO 9001 - 1401
Capability Maturity Model Integration (CMMI)
CMMI se ha convertido mundialmente en un requisito para acceder a la exportación de servicios de software. La norma provee una guía para implementar una estrategia de calidad y mejorar los procesos de una organización que se dedica al desarrollo y/o mantenimiento de software. Dispone de un esquema de certificación creado sobre organismos privados. (no normas ISO)
Principales normas ISO
Algunos estándares
5. Normativa que deben de cumplir las auditorías a sistemas de gestión de la calidad.
ISO 9000 para Auditoría a sistemas
ISO 216
Especifica los formatos de papel y es usada actualmente en muchos países del mundo.
Las auditorías a sistemas de gestión de la calidad deben cumplir con lo establecido en la cláusula 8.2.2 Auditoría interna de la norma internacional ISO 9001:2008 Sistemas de gestión de la calidad - Requisitos y la norma ISO 19011:2002 Directrices para auditar sistemas de gestión de la calidad y/o ambiental.
La norma ISO 9000:2005 le proporcionará los fundamentos y vocabulario que debe de conocer para poder interpretar correctamente las normas ISO 9001:2008 e ISO 19011:2002.
1. El concepto de auditoría a un sistema de gestión de la calidad.
La norma ISO 9000:2005 Sistemas de gestión de la calidad – Fundamentos y vocabulario, 3ª edición define en la cláusula 3.9.1 el concepto de auditoría de la siguiente manera:
Auditoría: proceso sistemático, independiente y documentado para obtener evidencia de auditoría y evaluarla objetivamente para determinar el grado en el cual se cumplen los criterios de auditoría.
ISO 9000
CERTIFICACION Y
SGC
Para lograr el aseguramiento de la calidad en la producción de acuerdo a la norma ISO 9002 se tiene que seguir las siguientes condiciones:
Reúne una serie de documentación en donde se encuentre bien especificadas las instrucciones que demuestren la manera de realizar los procesos de producción.
Utiliza equipo apropiado de producción (alta tecnología).
Monitorea y controla los parámetros de los procesos de producción y características del producto durante la manufactura y montaje.
Los criterios de trabajo se estipulan, al mayor grado práctico posible, a través de normas por escrito o a través de muestras representativas.
Se realiza· mantenimiento del equipo, con el fin de evitar inconformidades.
3. El concepto de criterios de auditoría.
La norma ISO 9000:2005 Sistemas de gestión de la calidad – Fundamentos y vocabulario, 3ª edición define en la cláusula 3.9.3 el concepto de criterio de auditoría como se muestra a continuación:
Criterio de auditoría: conjunto de políticas, procedimientos o requisitos.
Nota: los criterios de auditorías son empleados como referencias con los cuales se compara la
evidencia de auditoría.
4. Tipos de auditorías.
Las auditorías pueden ser auditorías internas (también conocidas como auditorías de primera parte) o auditorías externas (que pueden incluir auditorías de segunda parte o auditorías de tercera parte).
2. El concepto de evidencia de auditoría.
La norma ISO 9000:2005 Sistemas de gestión de la calidad – Fundamentos y vocabulario, 3ª edición define en la cláusula 3.9.4 el concepto de evidencia de auditoría como se muestra a continuación:
Evidencia de auditoría: registros, declaraciones de hechos u otra información que son pertinentes con los criterios de auditoría y es verificable.
Las auditorías internas, denominadas algunas veces como auditorías de primera parte, se realizan por, o en nombre de, la propia organización, para fines internos y puede constituir la base para la auto-declaración de conformidad de una organización. En muchos casos, particularmente en las pequeñas organizaciones, la independencia puede ser demostrada mediante la libertad de responsabilidad en la actividad que está siendo auditada.
Cuando dos o más sistemas de gestión se auditan juntos, la auditoría se denomina auditoría combinada.
Cuando dos o más organizaciones auditoras cooperan para auditar una un auditado, la auditoría se denomina auditoría conjunta.
Las auditorías externas incluyen aquellas denominadas generalmente como auditorías de segunda y tercera parte.
Las auditorías de segunda parte se realizan por partes que tienen un interés en la organización,
tales como clientes, o por otras personas en su nombre. Las auditorías de tercera parte se realizan a través de organizaciones de auditoría independiente, tales como aquellas que proporcionan la certificación de conformidad con ISO 9001o ISO 14001.
Certificación de calidad de software
Las normas de calidad otorgan un diferencial para las empresas de software. Pero el proceso para conseguirlas puede prolongarse a casi dos años, y a cambios internos en las compañías que aspiran a certificar los programas que fabrican
La certificación y calificación de servicios de software constituyen un diferencial muy importante para las empresas informáticas, en el contexto de fuerte competencia local y mundial.
Los beneficios son indudables: además de dar un valor agregado, la certificación de calidad facilita la comunicación con otras compañías que alcanzaron la misma madurez.
¿Cómo se obtienen estas certificaciones, ya sea las normas ISO o las que emite el Software Engineering Institute (SEI) de la Carnegie Mellon University?
Familias de las ISO
ISO 9000 Sistema de Gestion
de Calidad
- Fundamentos y Vocabulario
- La Norma ISO 9000 describe los fundamentos de los sistemas de gestión de la calidad y especifica la terminología para los sistemas de gestión de la calidad.
- El vocabulario de la versión ISO 9000:2000 ha sido elaborado para hacerlas más fáciles de entender y de implementar por las organizaciones grandes y pequeñas de manufactura o de servicios, en los sectores público y privado.
¿Quiénes usan las normas ISO 9000?
Hoy, empresas de todo el mundo, grandes y pequeñas, así como organizaciones dedicadas a la educación, a la salud y todo tipo de servicios desarrollan su sistema de calidad en base a las normas ISO serie 9000.
8 PRINCIPIOS DEL SGC (Sistema
de gestión de calidad)
Calidad del Producto Software y
la norma ISO/IEC 25000
La calidad del producto junto con la calidad del proceso son los aspectos más importantes actualmente en el desarrollo de Software. En calidad del producto recientemente ha aparecido una nueva versión de la norma ISO/IEC 9126: la norma ISO/IEC 25000. Esta proporciona una guía para el uso de las nuevas series de estándares internacionales, llamados Requisitos y Evaluación de Calidad de Productos de Software (SQuaRE). Constituyen una serie de normas basadas en la ISO 9126 y en la ISO 14598 (Evaluación del Software), y su objetivo principal es guiar el desarrollo de los productos de software con la especificación y evaluación de requisitos de calidad. Establece criterios para la especificación de requisitos de calidad de productos software, sus métricas y su evaluación.
ISO 9001 versión 2008
ISO 9001 Sistemas de Gestión de la Calidad.
Requisitos.
La norma ISO 9001 se orienta más claramente a los requisitos del sistema de gestión de la calidad de una organización para demostrar su capacidad para satisfacer las necesidades de los clientes,
¿ QUE BUSCA LA ISO 9001?
Establecer
Documentar
Mantener
Mejorar e
Implementar un SGC
ISO 9001 versión 2008